Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) не предусматривает специального основания для обработки персональных данных кандидатов, т. к. трудовые отношения с кандидатами на этапе подачи анкеты или собеседования еще не возникают. Иных требований законодательства, влекущих обработку персональных данных таких субъектов, также нет.
Справочно: персональные данные согласно абз. 9 ст. 1 Закона — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
В качестве ключевого основания для обработки персональных данных Закон предусматривает согласие субъекта. Вместе с тем в ст. 6 и 8 (специальные персональные данные) Закона содержится перечень случаев, когда получение согласия субъекта на обработку его персональных данных не требуется.
Так, согласно ст. 6 Закона, если учитывать специфику поднимаемого вопроса, согласие не требуется, в частности:
- при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- в отношении ранее распространенных персональных данных до момента заявления субъектом персональных данных требования о прекращении обработки или их удалении.
На каком же основании можно обрабатывать персональные данные кандидатов при приеме на работу? Давайте разбираться.
Основания для обработки
Основания для обработки персональных данных кандидатов будут зависеть от того, как организация здравоохранения получает персональные данные кандидатов.
Рекрутинг в организации здравоохранения может осуществляться по следующим сценариям:
- организация размещает вакансии, на которые откликаются кандидаты;
- организация самостоятельно ищет работников (например, через социальную сеть для поиска и установления деловых контактов LinkedIn) и связывается с кандидатами по своей инициативе;
- организация осуществляет поиск кандидатов через кадровые агентства.
Далее мы рассмотрим наш вопрос в рамках каждого из указанных сценариев и прокомментируем их с точки зрения Закона, а также с учетом иностранной практики защиты персональных данных.
Отклик поступил от кандидата
В данном случае нужно учитывать, что отклик от кандидата может поступить различными способами.
1‑й способ: кандидат откликается через сайт организации
Если у организации здравоохранения имеется сайт, где предусмотрена возможность заполнения заявки онлайн, то субъект может выразить согласие на обработку его персональных данных через проставление отметки на интернет-ресурсе (например, галочки в чек-боксе под формой заявки).
При этом организации здравоохранения необходимо помнить, что она обязана предоставить кандидату ряд сведений.
Справочно: перечень сведений, которые должны быть предоставлены субъекту персональных данных до запроса его согласия на обработку, включает:
– наименование и место нахождения (адрес места пребывания) оператора;
– цели обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие;
– срок, на который дается согласие;
– информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
– перечень действий с персональными данными, на совершение которых дается согласие;
– общее описание используемых оператором способов обработки персональных данных;
– иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Организация здравоохранения не имеет права запрашивать у кандидата данные, которые не связаны с оценкой его соответствия требованиям вакансии, например банковские данные, а цели обработки персональных данных кандидата должны быть ограничены оценкой соответствия кандидата требованиям вакансии.
В данном случае получение согласия может происходить следующим образом: в форме для отправки заявки можно разместить чек-бокс (который не должен быть заранее отмечен), где субъект сможет выразить свое согласие.
Руководителю на заметку
При этом необходимо предоставить субъекту доступ к информации, предусмотренной п. 5 ст. 5 Закона.
Такой доступ может быть обеспечен путем размещения:
- отдельного уведомления, которое содержит соответствующую информацию;
- гиперссылки на отдельный документ (согласие на обработку персональных данных либо политику обработки персональных данных).
2-й способ: кандидат связывается с организацией по иным каналам (например, через электронную почту, по телефону)
Здесь важно понимать, что сам по себе факт отправки заявки не является выражением согласия с точки зрения Закона, поскольку согласие субъекта — это «свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».
Когда кандидат откликается на вакансию (направляет потенциальному нанимателю свое резюме, оставляет контактные данные для связи и т. д.), у него нет всей необходимой информации о том, как будет осуществляться обработка его персональных данных (какой объем персональных данных и для каких целей будет обрабатываться, как долго будут храниться его персональные данные и кому они могут передаваться).
Руководителю на заметку
В данном случае необходимо запросить согласие. Как вариант — направить кандидату ответ на его письмо с указанием всей необходимой информации в соответствии со ст. 5 Закона, а также попросить кандидата подтвердить, согласен ли он на обработку его персональных данных в соответствии с предоставленной информацией.
В странах ЕС согласно General Data Protection Regulation 2016/679 (GDPR) обработка данных кандидатов может осуществляться на основании легитимного интереса, основанного на балансе интересов сторон (соответственно, нет необходимости получать согласие кандидата). Так, легитимный интерес нанимателя заключается в необходимости провести оценку кандидата на предмет соответствия требованиям вакансии, а легитимный интерес кандидата — в возможности установления трудовых отношений.
В нашей стране такого основания, как легитимный интерес, Закон не предусматривает.
Организация сама ищет кандидатов и связывается с ними
Организация здравоохранения может самостоятельно искать работников, например через социальную сеть для поиска и установления деловых контактов, и связываться с кандидатами по своей инициативе.
Важно
В случае, когда персональные данные были опубликованы самим субъектом в социальной сети или на иных интернет-площадках, они будут рассматриваться как общедоступные.
Из анализа норм Закона следует, что если субъектом не было заявлено требований о прекращении обработки или удалении распространенных персональных данных, согласие на их обработку не требуется. Соответственно, если кандидат разместил свое резюме на интернет-ресурсе, организация здравоохранения, заинтересованная в данном кандидате, может начать обработку персональных данных без запроса его согласия.
Однако важно помнить, что обработка общедоступных персональных данных также должна соответствовать общим требованиям к обработке персональных данных, закрепленным в ст. 4 Закона. Такая обработка должна ограничиваться достижением конкретных, заранее заявленных законных целей, а также обеспечивать справедливое соотношение интересов сторон.
Мнение автора
По мнению автора, если субъект персональных данных опубликовал свое резюме в сети, предназначенной для поиска работы, он предполагает, что данные, размещенные в такой сети, будут использоваться для целей, связанных с потенциальным трудоустройством. Соответственно, обработка данных, размещенных на интернет-ресурсе, предназначенном для поиска работы, для целей установления контакта с кандидатами, не будет нарушением Закона.
Подход Российской Федерации к использованию общедоступных данных представляется более формальным. Так, с 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», а с 1 сентября 2021 г. начал действовать приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласно этим изменениям оператор перед обработкой данных, полученных из открытых источников (социальные сети, сайты по поиску работы), теперь должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение персональных данных и для каких целей оно получено у соискателя. Кроме того, оператор должен доказать законность сбора и последующего использования данных кандидатов из открытых источников.
Поиск кандидатов осуществляют агентства
Как правило, кадровое агентство совершает обработку персональных данных от своего имени и самостоятельно определяет порядок такой обработки. Соответственно, по смыслу Закона оно выступает оператором персональных данных, и на нем лежит обязанность получения согласия кандидата на обработку его персональных данных.
Справочно: Закон выделяет двух субъектов отношений по обработке персональных данных — оператора и уполномоченное лицо.
Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель (далее, если не определено иное, — физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ст. 1 Закона).
Вместе с тем важно понимать, что кадровое агентство не может предусмотреть, как сама организация здравоохранения будет осуществлять обработку персональных данных кандидата (как долго будет хранить данные, кому данные будут передаваться и т. д.).
Мнение автора
По мнению автора, когда организация здравоохранения начинает самостоятельно осуществлять обработку переданных кадровым агентством данных кандидата (к примеру, приглашает кандидата на собеседование), то именно организация здравоохранения обязана получить согласие кандидата на дальнейшую обработку его персональных данных, предоставив ему всю необходимую информацию.
Проведение собеседования и действие Закона
Возникает вопрос: если после рассмотрения заявки организация здравоохранения приглашает кандидата на собеседование, подпадает ли сбор данных о кандидате в ходе собеседования под требования Закона?
Согласно п. 1 ст. 2 Закона Закон регулирует отношения, связанные с защитой персональных данных при их обработке, осуществляемой:
- с использованием средств автоматизации;
- без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
Мнение автора
Например, база записей собеседований, сгруппированная по именам или хронологически, скорее всего, будет подпадать под требования Закона. Соответственно, если организация здравоохранения обрабатывает данные одним из вышеперечисленных способов, такая обработка должна соответствовать требованиям Закона.
Заключение
К вопросу обработки персональных данных кандидатов необходимо подходить ответственно, т. к. нарушение данного порядка может повлечь за собой неблагоприятные последствия в виде административной и уголовной ответственности.
От редакции
Подробнее об ответственности в сфере персональных данных читайте в статье Т. Соколовской «Персональные данные: вопросы ответственности за нарушение законодательства об их защите».